Un nuovo warning congiunto diffuso dalle principali agenzie di sicurezza euro-atlantiche accende i riflettori su una vasta campagna di cyberspionaggio attribuita ad Apt28, il gruppo hacker legato al servizio di intelligence militare russo Gru, accusato di aver compromesso router vulnerabili in diversi Paesi per infiltrare reti sensibili e sottrarre informazioni strategiche.

A firmare l’allerta sono Fbi, National Security Agency (Nsa), Bundesamt für Verfassungsschutz (BfV), Bundesnachrichtendienst (Bnd), Aise e Aisi ed i servizi partner di Canada, Repubblica Ceca, Danimarca, Estonia, Finlandia, Lettonia, Lituania, Norvegia, Polonia, Portogallo, Romania, Slovacchia e Ucraina, in una delle più ampie mobilitazioni coordinate degli ultimi mesi sul fronte cyber. Secondo quanto riferito dalle autorità occidentali, l’operazione russa avrebbe avuto come obiettivo la raccolta di intelligence su apparati governativi, asset militari e infrastrutture critiche, confermando il crescente ricorso di Mosca agli strumenti della guerra ibrida per esercitare pressione strategica ben al di fuori della dimensione dello scontro convenzionale.

Cosa

Secondo quanto comunicato dalle autorità tedesche, il gruppo avrebbe compromesso migliaia di router TP-Link vulnerabili esposti online, sfruttandoli come piattaforme intermedie per attività di raccolta di dati e di intercettazione del traffico. Berlino conferma che almeno trenta dispositivi vulnerabili sono stati identificati in Germania, con diversi casi nei quali la compromissione da parte degli operatori russi è già stata verificata.

Il BfV ha riferito di aver avviato, dal 13 marzo, un’attività di contatto diretto con gli operatori interessati, in coordinamento con le autorità di sicurezza dei Länder, per sensibilizzare i gestori delle reti colpite e promuovere la sostituzione o la messa in sicurezza degli apparati compromessi, spesso dispositivi periferici trascurati nella sicurezza aziendale o istituzionale, e utilizzati come punti d’ingresso.

Come

La tecnica utilizzata dal gruppo russo si fonda sullo sfruttamento di vulnerabilità note, in particolare la CVE-2023-50224, che interessa specifici dispositivi TP-Link. Una volta ottenuto accesso al router, gli attaccanti alterano le configurazioni Dns e Dhcp, sostituendo i resolver legittimi con server controllati direttamente dalla propria infrastruttura.

Così, tutto il traffico generato dai dispositivi collegati a quella rete (computer, smartphone, tablet, sistemi aziendali) può essere monitorato o manipolato.

È un approccio estremamente sofisticato perché consente di agire a monte della comunicazione, preposizionandosi prima ancora che il traffico raggiunga il servizio richiesto dall’utente. Attraverso questa tecnica, Apt28 è in grado di effettuare attacchi di tipo adversary in the middle, che consentono all’attore ostile di interporsi occultamente tra il bersaglio e il servizio digitale utilizzato, assumendo il controllo del flusso comunicativo senza alterarne apparentemente il funzionamento.

In questo modo l’attaccante può monitorare, intercettare o manipolare dati sensibili in transito, incluse credenziali, comunicazioni riservate e token di autenticazione intercettando comunicazioni protette, acquisendo password, token di autenticazione, credenziali di posta elettronica e altri dati normalmente schermati dalla crittografia.

Chi

Apt28, noto anche come Fancy Bear o Forest Blizzard, è uno degli asset cyber più noti e studiati al mondo. Da oltre un decennio viene indicato dalle intelligence occidentali come braccio operativo dell’85° Main Special Service Center del Gru, reparto specializzato in cyberwarfare offensivo.

La sua firma è presente in alcune delle più rilevanti operazioni cyber dell’ultimo decennio, dall’interferenza nelle elezioni presidenziali statunitensi del 2016 agli attacchi contro istituzioni Nato, ministeri della Difesa europei, think tank e organizzazioni internazionali. La Germania è uno dei Paesi più frequentemente colpiti dal gruppo, con Berlino che attribuisce al braccio russo il maxi-attacco al Bundestag del 2015, che costrinse il Parlamento tedesco alla ricostruzione integrale della propria rete IT,  la compromissione della sede centrale della Spd nel 2023, nonché l’attacco alla Deutsche Flugsicherung, il controllo del traffico aereo tedesco, nel 2024.